是否存在具有IND 1安全性的部分同态量子安全公钥密码系统？

Question

最近，我问“Ind-CCA1RSA填充？”是否有一个IND 1安全变体的RSA。问题的原始版本也允许使用ECC，这将允许使用ElGamal，提供IND和略显IND-CA1。

现在，我有了与上述问题相同的设置，这意味着我需要一个具有某些同态性质和最大安全性概念的密码系统(IND-CCA1将是最优的，但IND也可以)。但这一次，我想要一个后量子方案，它具有同态性质，并且是IND-CCA1安全的。

最后一个问题是：

是否有任何后量子公钥加密算法提供IND 1/CPA安全性和部分同态性？

请从答案中排除完全同态加密方案。我知道他们中的大多数人都很安全，但是他们太慢了。当然，也请将比FHE计划慢的计划排除在外。

Answer 1

本质上，任何基于IND安全的基于格的密码系统都提供附加的同态，最多可达到预定的操作数。

除了Loftus-May-Smart-Vercauteren SAC'11之外，我不知道有任何IND 1-安全后量子候选提供任何同态性质，这是基于一个非标准的“错误知识”格假设。